Amazon Linux 2：containerd (ALASECS-2023-002)

high Nessus 插件 ID 178287

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 containerd 版本低于 1.6.19-1。因此，它受到 ALAS2ECS-2023-002 公告中提及的多个漏洞影响。

- containerd 是一个开源容器运行时。在 containerd 的 CRI 实现中发现一个缺陷，用户可在其中耗尽主机上的内存。在 CRI 流服务器中，如果请求 TTY，则会启动一个 go 例程来处理终端大小调整事件。如果用户的进程因错误命令等原因无法启动，则 go 例程将在没有接收器的情况下等待发送，从而导致内存泄漏。
Kubernetes 和 crictl 均可配置为使用 containerd 的 CRI 实现，流服务器尅用于处理容器 IO。此错误已在 containerd 1.6.12 和 1.5.16 中修复。用户应更新到这些版本以解决该问题。无法升级的用户应确保仅使用受信任的映像和命令，并且只有受信任的用户才有权限在运行中的容器中执行命令。(CVE-2022-23471)

- containerd 是一个开源容器运行时。在 1.6.18 之前版本和 1.5.18 之前版本中，导入 OCI 镜像时，对某些文件的读取字节数没有限制。在未应用限制的情况下，恶意构建的包含大文件的镜像可导致拒绝服务。此错误已在 containerd 1.6.18 和 1.5.18 中修复。用户应更新到这些版本以解决该问题。变通方案是，确保仅使用受信任的镜像，并且只有受信任的用户才具有导入镜像的权限。
(CVE-2023-25153)

- containerd 是一个开源容器运行时。在低于 1.6.18 和 1.5.18 版的 containerd 中发现一个缺陷，容器内的附属组设置不正确。如果攻击者拥有对容器的直接访问权限并能操纵其附属群组访问权限，则在某些情况下，他们可能会使用附属群组访问权限绕过主要群组限制，从而可能获得对敏感信息的访问权限或在该容器中执行代码的能力。使用 containerd 客户端库的下游应用程序也可能受到影响。已在 containerd v1.6.18 和 v.1.5.18 中修复此错误。用户应更新到这些版本并重新创建容器以解决该问题。
用户如果依赖使用 containerd 客户端库的下游应用程序，应检查该应用程序是否有单独的公告和说明。变通方案是，确保不使用 `USER $USERNAME` Dockerfile 指令，将容器入口点设置为类似于“ENTRYPOINT [su, -, user]”的值，以允许“su”正确设置附属组。(CVE-2023-25173)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。